Evaluación de Impacto en Protección de Datos en Colombia: ¿Un marco metodológico en construcción o un laberinto regulatorio?

Heidy Elieth Balanta
Abogada y Directora Ejecutiva de la Escuela de Privacidad

La evaluación de impacto en protección de datos personales (EIPD) se entiende como un proceso concebido para describir el tratamiento, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los derechos y libertades de las personas físicas derivados del tratamiento de datos personales evaluándolos y determinando las medidas para abordarlos[1]. En el Reglamento General de Protección de Datos, así como otras legislaciones que han tomado como base esta regulación, establece como una de las condiciones para realizar una EIPD que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas.

La EIPD ha tomado una relevancia y fuerza en las nuevas generaciones de normativas en protección de datos personales, en especial, cuando en el tratamiento de datos personales se utilizan nuevas tecnologías. Los países que tienen regulado la EIPD han optado por que sus autoridades de protección de datos personales emitan una lista de actividades de tratamiento, las cuales sean probable que entrañen un riesgo alto; en dicho sentido, el responsable debe evaluar a partir de esa lista, entre otros criterios, la necesidad de realizar una evaluación de impacto o no.

Colombia no tiene reconocida de manera expresa la EIPD, sin embargo, el artículo 26 del Decreto 1377 de 2013 dispone que los responsables del tratamiento deben demostrar, a solicitud de la Superintendencia de Industria y Comercio (SIC), que han adoptado medidas adecuadas y eficaces para cumplir con las obligaciones establecidas, de manera proporcional, a los riesgos potenciales que dicho tratamiento pueda representar para los derechos de los titulares.

Recientemente, a través de las circulares externas 002 y 003 del 2024, la SIC ha establecido la necesidad de que los responsables adopten EIPD. Por un lado, la Circular Externa 002 de 2024 establece que, antes del diseño y desarrollo de sistemas de inteligencia artificial, y cuando se prevea que los productos derivados puedan representar un alto riesgo para los titulares, es indispensable realizar y documentar un estudio de impacto en privacidad. Por otro lado, la Circular Externa 003 de 2024 sugiere a los administradores societarios, la implementación de estudios de impacto en privacidad, como medidas precautorias o preventivas para proteger los derechos de los titulares.

La SIC ha plasmado la EIPD en diversas guías, instando a los responsables a aplicar dicha metodología cuando sea probable que la actividad que vaya a desplegar genere un alto riesgo para los titulares de los datos. Algunas de estas guías son sobre transferencias internacionales de protección de datos personales, marketing y publicidad, comercio electrónico y  protección de datos en entidades estatales. También, en la Guía Oficial de Protección de Datos Personales la SIC establece que la realización de la EIPD es responsabilidad del responsable del tratamiento, mientras que el Oficial de Protección de Datos (OPD) puede brindar apoyo. Además,  recomienda acudir a la asesoría del OPD para determinar la necesidad de una evaluación, la metodología a seguir, y si la EIPD debe ejecutarse internamente o subcontratarse.

En algunas ordenes administrativas la SIC ha ordenado realizar una EIPD. En la Resolución 1321 de 2019 ordena a Facebook desarrollar, implementar y mantener evaluaciones de impacto (DPIA o PIA) que analicen los riesgos inherentes al tratamiento de datos en sus plataformas (web, móvil, etc.) En la Resolución 61017 de 2020 sugiere al Departamento Administrativo de la Función Pública realizar una Evaluación de Impacto antes del diseño y desarrollo de cualquier proyecto, y en la Resolución 64454 de 2021 ordena a la Alcaldía Mayor de Bogotá adoptar un enfoque preventivo en la implementación de desarrollos tecnológicos, exigiendo un estudio que incluya una descripción detallada de las operaciones de tratamiento, una evaluación de los riesgos específicos para los derechos y libertades de los titulares, y las medidas previstas para mitigar dichos riesgos.

La EIPD en Colombia hace parte de proceso regulatorio en construcción, se reconocen elementos esenciales para este tipo de metodología, pero son muy pocos los casos donde existe claridad de cuando llevar a cabo una IEPD, a su vez, se evidencia una falta de uniformidad en la terminología, en muchos casos mencionan estudios de impacto en privacidad, y en otros, evaluaciones de impacto en protección de datos, tengamos presente que son dos derechos fundamentales diferentes, aunque se complementan entre si. Este panorama contrasta notablemente con otros marcos normativos a nivel internacional que disponen de criterios definidos donde se identifican las actividades de alto riesgo susceptibles de evaluación de impacto.

El escenario actual invita a un debate continuo sobre la necesidad de armonizar criterios y establecer lineamientos claros que respondan tanto a las exigencias presentes como a los retos futuros en un entorno digital en constante transformación.